2022年有關(guān)數(shù)據(jù)保護(hù)的零信任指南

責(zé)任編輯:cres

作者:Matt James

2021-12-15 14:20:00

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

本文介紹了實(shí)施零信任安全方法應(yīng)該了解的內(nèi)容。

近年來,發(fā)生的數(shù)據(jù)泄露事件變得越來越普遍。從2021年1月1日到2021年9月30日,全球各地發(fā)生了近1300起數(shù)據(jù)泄露事件,這和2020年全年相比高出近20%,而在此期間,由于很多人在家遠(yuǎn)程工作,數(shù)據(jù)泄露事件的破壞程序比以往任何時(shí)候都要嚴(yán)重。
 
網(wǎng)絡(luò)攻擊者為了獲利,數(shù)據(jù)泄露事件將會(huì)繼續(xù)增長。眾所周知,新冠疫情導(dǎo)致了很多企業(yè)向遠(yuǎn)程工作的快速轉(zhuǎn)變以及許多與業(yè)務(wù)相關(guān)的變化。持續(xù)蔓延的疫情和員工對傳統(tǒng)工作環(huán)境的看法發(fā)生了普遍變化,這讓很多企業(yè)放棄了讓員工重返辦公室的想法。這也產(chǎn)生了對數(shù)據(jù)保護(hù)的需求,企業(yè)需要采取新的舉措應(yīng)對,例如投資數(shù)據(jù)加密。
 
一些企業(yè)將這種現(xiàn)狀視為戰(zhàn)略性提高生產(chǎn)力的一個(gè)很好的方法。然而,即使一些企業(yè)對遠(yuǎn)程工作持樂觀態(tài)度,他們?nèi)匀槐仨殤?yīng)對挑戰(zhàn)。這對于避免可能損害業(yè)務(wù)的數(shù)據(jù)泄露是必要的。
 
目前企業(yè)面臨的一個(gè)主要挑戰(zhàn)是網(wǎng)絡(luò)安全。更多的網(wǎng)絡(luò)安全專業(yè)人員擁有大數(shù)據(jù)背景,能夠解決這些問題。
 
企業(yè)需要確定策略來改進(jìn)遠(yuǎn)程團(tuán)隊(duì)的安全協(xié)議和實(shí)踐。例如針對遠(yuǎn)程員工的多因素身份驗(yàn)證(MFA)等特定策略,但這些特定方法需要適應(yīng)更大、更全面的網(wǎng)絡(luò)安全圖景。這種整體的安全方法看起來越來越依賴于零信任架構(gòu)。
 
如果零信任安全方法成為2022年企業(yè)的優(yōu)先事項(xiàng),那么以下是關(guān)于數(shù)據(jù)保護(hù)零信任的一個(gè)全面的指南,介紹了實(shí)施零信任安全方法應(yīng)該了解的內(nèi)容。
 
什么是零信任架構(gòu)?
 
零信任是目前網(wǎng)絡(luò)安全領(lǐng)域最突出的術(shù)語之一,但它不僅僅是一個(gè)流行術(shù)語。事實(shí)上,它看起來可能在很多方面代表了網(wǎng)絡(luò)安全的未來。零信任是一項(xiàng)通過消除信任概念來防止數(shù)據(jù)泄露的舉措。
 
除了從不信任之外,零信任的第二個(gè)哲學(xué)要素是始終驗(yàn)證。
 
零信任通過網(wǎng)絡(luò)分段保護(hù)通?;谠频沫h(huán)境。零信任還有助于防止橫向移動(dòng),并有助于簡化細(xì)粒度用戶訪問控制的實(shí)施。
 
John Kindervag在擔(dān)任Forrester Research公司副總裁兼首席分析師時(shí)創(chuàng)建了“零信任”這一術(shù)語。他得出的結(jié)論是,傳統(tǒng)的安全模型是在過時(shí)的假設(shè)上運(yùn)行的。
 
基本操作的假設(shè)是網(wǎng)絡(luò)中的所有內(nèi)容都應(yīng)該可信。此外,在傳統(tǒng)模型中假定用戶身份不會(huì)受到損害。零信任模型顛覆了這些傳統(tǒng)概念,將信任視為一種弱點(diǎn)。
 
一旦網(wǎng)絡(luò)攻擊者進(jìn)入網(wǎng)絡(luò),他們就可以橫向移動(dòng)。這種橫向移動(dòng)可能會(huì)導(dǎo)致數(shù)據(jù)泄露。
 
保護(hù)面
 
在零信任中,有一個(gè)由最關(guān)鍵的資產(chǎn)、數(shù)據(jù)、服務(wù)和應(yīng)用程序組成的受保護(hù)面,而受保護(hù)的面是特定組織所獨(dú)有的。
 
保護(hù)面僅包含對企業(yè)的操作最關(guān)鍵的內(nèi)容,因此它比攻擊面小得多。
 
一旦確定了受保護(hù)的面,企業(yè)就可以開始了解與保護(hù)面相關(guān)的流量如何在其企業(yè)中移動(dòng)。然后開始了解用戶是誰、他們使用什么應(yīng)用程序以及他們?nèi)绾芜B接。只有這樣,企業(yè)才能創(chuàng)建和實(shí)施安全數(shù)據(jù)訪問策略。
 
創(chuàng)建微邊界變得重要,這意味著企業(yè)將控件盡可能靠近保護(hù)面。
 
在實(shí)施零信任策略以保護(hù)其核心應(yīng)用之后,實(shí)時(shí)監(jiān)控和維護(hù)將繼續(xù)進(jìn)行。作為監(jiān)控的一部分,一些企業(yè)正在尋求應(yīng)包含在保護(hù)面中的任何其他內(nèi)容、未考慮的相互依賴性以及可以改進(jìn)整體策略的方法。
 
簡而言之,零信任架構(gòu)的基本原則包括:
 
•違約假設(shè)
 
•假設(shè)企業(yè)擁有的環(huán)境與非企業(yè)擁有的環(huán)境并不更值得信賴或不同
 
•持續(xù)分析和評估風(fēng)險(xiǎn)
 
•持續(xù)使用風(fēng)險(xiǎn)緩解保護(hù)措施
 
•最大限度地減少資產(chǎn)訪問和用戶對資源的訪問
 
•每次有訪問請求時(shí),身份和安全性的持續(xù)身份驗(yàn)證和授權(quán)
 
不依賴位置
 
企業(yè)現(xiàn)在可能比以往任何時(shí)候都更多地聽到采用零信任的原因是它不依賴于位置。對于遠(yuǎn)程工作,這至關(guān)重要。
 
用戶、應(yīng)用程序和設(shè)備無處不在,通常沒有地理界限。企業(yè)不能只在一個(gè)地點(diǎn)實(shí)施零信任,因此必須強(qiáng)制執(zhí)行將其擴(kuò)展到整個(gè)環(huán)境。與此同時(shí),通過擴(kuò)展,企業(yè)的用戶需要訪問適當(dāng)?shù)臄?shù)據(jù)和應(yīng)用程序。
 
零信任的好處是什么?
 
如果企業(yè)正在考慮是否將資源投入到零信任的轉(zhuǎn)變中,其好處是廣泛的,其中包括:
 
(1)更高的可見性
 
由于2020年遠(yuǎn)程工作迅速增加,IT團(tuán)隊(duì)難以獲得確保企業(yè)安全所需的可見性。
 
零信任意味著企業(yè)需要可見性才能使其發(fā)揮作用,從而提供戰(zhàn)略方法。而在理想情況下,企業(yè)需要涵蓋所有數(shù)據(jù)和計(jì)算源,盡管這可能不太現(xiàn)實(shí)。
 
但是,一旦企業(yè)設(shè)置了所需的監(jiān)控,就可以完全了解誰在訪問其網(wǎng)絡(luò)以及他們當(dāng)時(shí)正在采取什么行動(dòng)。
 
(2)更簡單的IT管理
 
零信任依賴于持續(xù)監(jiān)控和持續(xù)分析的概念。自動(dòng)化元素可以是評估訪問請求的一部分。IT團(tuán)隊(duì)不必積極參與批準(zhǔn)所有請求,他們只能在自動(dòng)化系統(tǒng)將請求標(biāo)記為潛在可疑時(shí)才介入執(zhí)行管理職責(zé)。
 
由于大多數(shù)企業(yè)報(bào)告缺乏網(wǎng)絡(luò)安全技能,因此這一優(yōu)勢尤為重要。企業(yè)通過零信任方法自動(dòng)化網(wǎng)絡(luò)安全的次數(shù)越多,其團(tuán)隊(duì)就越能將時(shí)間投入到戰(zhàn)略工作中。
 
通過使用集中監(jiān)控和分析,企業(yè)的安全團(tuán)隊(duì)可以更智能地工作。分析的收集可幫助團(tuán)隊(duì)獲得他們原本無法獲得的獨(dú)特見解。安全團(tuán)隊(duì)可以提高效率,用更少的資源做更多的事情,同時(shí)維護(hù)一個(gè)更安全的環(huán)境。
 
(3)更好的數(shù)據(jù)保護(hù)
 
零信任提供更好的數(shù)據(jù)保護(hù),防止員工和惡意軟件訪問企業(yè)的大量網(wǎng)絡(luò)。
 
當(dāng)企業(yè)限制用戶可以訪問的內(nèi)容以及他們可以訪問的時(shí)間時(shí),如果發(fā)生違規(guī)行為,就會(huì)減少其帶來的影響。
 
(4)確保遠(yuǎn)程勞動(dòng)力的安全
 
2020年接受調(diào)查的IT高管和安全專業(yè)人士中,70%以上的受訪者表示他們擔(dān)心遠(yuǎn)程工作帶來的風(fēng)險(xiǎn)和漏洞。在零信任模型下,身份構(gòu)成了邊界。否則防火墻就難以應(yīng)對這些風(fēng)險(xiǎn),因?yàn)閿?shù)據(jù)分布在云中。
 
身份附加到試圖獲得訪問權(quán)限的設(shè)備、應(yīng)用程序和用戶。
 
(5)高效訪問
 
零信任框架附帶的自動(dòng)化可幫助用戶快速訪問他們需要的內(nèi)容,因此他們無需等待批準(zhǔn)。只有在出現(xiàn)高風(fēng)險(xiǎn)標(biāo)志時(shí),IT團(tuán)隊(duì)才會(huì)介入。遠(yuǎn)程工作者不必通過緩慢的網(wǎng)關(guān)來訪問他們完成工作所需的內(nèi)容。與其相反,他們可以直接訪問資源。
 
(6)持續(xù)合規(guī)
 
零信任有助于合規(guī)性,因?yàn)槊總€(gè)訪問請求都會(huì)被記錄和評估。企業(yè)需要一個(gè)自動(dòng)創(chuàng)建的審計(jì)跟蹤,帶有持續(xù)的證據(jù)鏈。
 
創(chuàng)建零信任架構(gòu)
 
盡管有很多好處,但一些企業(yè)對實(shí)施零信任的想法感到不知所措,并且通常不知道從哪里開始。因此大致了解流程中的步驟可以獲得一些幫助。
 
這些步驟包括:
 
•了解工作流程。
 
•了解所有服務(wù)和應(yīng)用程序。
 
•決定要使用的技術(shù)。
 
•規(guī)劃技術(shù)之間的交互。
 
•構(gòu)建基礎(chǔ)設(shè)施并配置技術(shù)。
 
更具體地說,這些步驟包括:
 
•識(shí)別需要網(wǎng)絡(luò)訪問的用戶。在不知道誰需要訪問哪些資源的情況下,企業(yè)無法在零信任實(shí)施中進(jìn)一步發(fā)展。這不僅僅是收集用戶列表,與其相反,必須考慮所有人,包括服務(wù)帳戶和第三方承包商。
 
•識(shí)別需要網(wǎng)絡(luò)訪問的設(shè)備。由于物聯(lián)網(wǎng)(IoT)和BYOD政策,現(xiàn)在更具挑戰(zhàn)性,但仍然是零信任的必備條件。
 
•企業(yè)的關(guān)鍵流程是什么?可以通過關(guān)注低風(fēng)險(xiǎn)流程開始轉(zhuǎn)向零信任,因?yàn)檫@樣就不必?fù)?dān)心業(yè)務(wù)中的關(guān)鍵停機(jī)時(shí)間。
 
•創(chuàng)建策略。
 
•從這一點(diǎn)開始,企業(yè)可以開始確定解決方案。解決方案的考慮因素包括它是否需要行為改變,以及它是否提供對應(yīng)用程序、協(xié)議和服務(wù)的支持。
 
最后,當(dāng)企業(yè)了解一切將如何運(yùn)作時(shí),可以開始遷移,然后根據(jù)需要盡可能擴(kuò)展零信任架構(gòu)。
 
零信任是阻止未來數(shù)據(jù)泄露的關(guān)鍵
 
數(shù)據(jù)泄露如今比以往任何時(shí)候都更加令人擔(dān)憂。這凸顯了采取嚴(yán)厲措施來確保其數(shù)字資產(chǎn)安全的必要性。如果企業(yè)還沒有制定轉(zhuǎn)向零信任的計(jì)劃,那么現(xiàn)在就是應(yīng)該開始的時(shí)候,將其作為未來一年的重要戰(zhàn)略重點(diǎn)。采用零信任,企業(yè)可以有效防止黑客訪問數(shù)據(jù)。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)